360:2016年高级持续性威胁(APT)研究报告

《2016年中国高级持续性威胁研究报告》摘要
APT攻击的基本研究

  • 2016年,全球各地安全机构展开了大量关于APT的专业研究。截至2016年12月,360追日团队共监测到全球41个安全机构发布的各类APT研究报告100份,涉及相关APT组织43个,被攻击目标国家38个。
  • 美国在APT研究方面处于全球领先的地位,至少有19个研究机构发布了各类APT研究报告50篇。俄罗斯目前主要的APT研究机构,虽然仅有Kaspersky一家,但其研究质量,深度和总体水平显著高于绝大多数其他研究机构。国内研究机构目前仍处于全球APT研究的第二梯队。
  • 中国APT研究水平明显落后于美俄等国的主要原因有以下两个方面:首先是国内能力型厂商的缺乏,目前国内仅360、安天等少数机构能够对APT进行深入与专业的研究;其次是美俄两国,特别是美国,非常善于通过公开威胁事件及情报共享等方式,提高国内机构与企业的整体安全防护水平,同时借此对其他国家施加政治压力。
  • 截至2016年底,360威胁情报中心已累计监测到针对中国境内目标发动攻击的境内外APT组织36个,最近三个月内仍处于活跃状态的APT组织至少有13个。在过去的12个月中,这些APT组织发动的攻击行动至少影响了境内超过万台电脑,攻击范围遍布国内31个省级行政区。
  • 统计显示,疑似APT攻击目标的境内组织机构近200个。其中,大学占比最高,为40.0%;其次是企业占比25.0%;再次是政府及事业单位占比18.3%;还有科研机构占比11.1%,其他机构或个人占比5.6%。

针对特定领域的攻击与影响

  • 2015末-2016年,APT攻击在三个领域中产生的重要影响最值得关注:针对工业系统的破坏,针对金融系统的犯罪,以及针对地缘政治的影响,
  • 2015年12月23日,也就是圣诞节前夕,乌克兰遭遇了大规模停电事件,数万“灾民”不得不在严寒中煎熬;在2016年11月17日晚,即伊斯兰教的大赦之夜,沙特阿拉伯又遭遇了Shamoon2.0的攻击,包括沙特国家民航总局在内的6个重要机构的计算机系统遭到严重破坏。
  • n   2016年堪称全球银行机构的网络灾害年。先是上半年接连发生了以孟加拉国央行为代表的一系列发展中国家的央行或大型国有银行被盗事件,受害者损失高达数千万美元。下半年又接连发生了以台湾第一银行ATM机吐钞事件为代表的一系列ATM机攻击事件。而一个以合法软件开发企业为伪装的,以不当盈利为目的的,长期从事敏感金融交易信息窃取活动的境内APT组织黄金眼,也在2015年12月被截获。
  • 网络攻击事件对地缘政治的影响也在2016年也异常突出。特别是对美国大选产生了直接影响的DNC邮件泄露事件,其实质影响可能是世界性的。此外,方程式组织工具的泄漏事件也显示,中国很可能是这个超高级组织攻击的主要目标。

APT攻击的组织与事件

  • 网络军火商是APT活动中一群特殊的利益团体和组织,他们会出售计算机程序、软件或设备给其他组织机构。全球比较著名的网络军火商包括意大利的Hacking Team、英国的Gamma和以色列的NSO Group等。
  • 2016年8月,iOS三叉戟漏洞被曝出。这是苹果史上第一次公开披露的针对iOS的APT0day攻击。
  • 索伦之眼是2016年度被全球所有机构披露的APT组织中技术实力最强的,与之前的方程式(Equation)组织相比也毫不逊色,其幕后组织的综合能力不亚于震网(Stuxnet)、火焰(Flame)等知名APT组织。索伦之眼组合使用了一系列复杂高难度的技术对目标实施了隐蔽性极强的攻击,譬如:高度模块化的平台、加密虚拟文件系统、无文件实体等。
  • 2016年最受全球关注的APT组织非APT28莫属。该组织在2015年第一季度大量攻击了北约成员国和欧洲、亚洲、中东等地区国家的政府。2016年12月披露的的证据表明,该组织可能帮助亲俄武装分裂分子追踪乌克兰部队的动向,曾使乌克兰炮兵部队损失一半以上的武器。此外,2016年4月DNC邮件系统被入侵,2016年底被披露的德国政府官员、国会议员等遭到的网络攻击也都被认为与该组织有关。
  • 摩诃草组织(APT-C-09),是一个来自于南亚地区的境外APT组织。摩诃草组织最早由Norman安全公司于2013年曝光。该组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主。相关攻击活动最早可以追溯到2009年11月,至今还非常活跃。

APT攻击的趋势特点与监测防御

  • 综合2015-2016年APT攻击的情况分析,未来几年内,APT攻击将主要呈现以下四个趋势特点:网络空间成为大国博弈的新战场,针对基础设施的破坏性攻击日益活跃,针对特定个人的移动端攻击显著增加,一带一路与军民融合仍将是攻击焦点。
  • 从目前APT监测与防御技术体系的发展来看,企业在网络安全建设方面仍存在诸多盲区,同时,国内的能力型安全厂商仍然严重缺位。而数据驱动的,协同联动的纵深防御体系将成为未来APT检测与防御的主要方法。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

推荐文章

沪公网安备 31010702002009号